Крупная фишинговая кампания с использованием техники Adversary-in-the-Middle (AiTM, противник-в-середине) была зафиксирована в начале июня 2025 года, демонстрируя новые тактики обхода систем безопасности. Атака началась с целевых писем о выплате заработной платы и завершилась созданием полноценной фишинговой инфраструктуры, способной перехватывать учетные данные даже при наличии многофакторной аутентификации.
Описание
Инцидент начался с серии электронных писем, отправленных с адреса info.desk@delesgroup[.]co. Тема письма содержала стандартную формулировку о совместном документе от payroll-отдела: "Example539 Disbursement/Payroll Team shared a document with you on 2025-06-03 REF: DOCS#123456". Подобные сообщения, связанные с выплатой заработной платы, демонстрируют повышенную эффективность, поскольку пользователи чаще переходят по ссылкам в таких письмах.
Анализ домена delesgroup[.]co показал его регистрацию через NameSilo с использованием Cloudflare nameservers. Эта комбинация стала распространенной среди злоумышленников, что эксперты связывают с поддержкой Bitcoin-платежей данным регистратором.
В письмах содержались ссылки на легитимный сайт acciaio-italy[.]com, специализирующийся на продаже кожаных изделий. Злоумышленники использовали уязвимость в системе перенаправления этого ресурса, создавая сложную цепочку редиректов. Ключевым элементом атаки стала подстановка Base64-кодированного email-адреса жертвы в параметр URL, что позволяло персонализировать атаку для каждого пользователя.
При переходе по ссылке пользователь последовательно проходил через несколько этапов. Сначала происходило перенаправление на домен calcola-iva[.]it, где появлялась неисправная reCAPTCHA. После ее прохождения следовало второе испытание - Cloudflare Turnstile, размещенное на платформе workers.dev. Эта многоступенчатая система стала характерной чертой современных AiTM-атак.
Финальным этапом становилась фишинговая страница входа, визуально идентичная официальному порталу Microsoft 365, но размещенная на поддомене workers[.]dev. При вводе учетных данных информация передавалась на серверы злоумышленников по адресу 144.172.105[.]29 через домены dvvatts[.]com, fzminze[.]com и temple-lnc[.]com.
Расследование показало, что инфраструктура злоумышленников использовалась продолжительное время. Домен fzminze[.]com фиксировался в аналогичных кампаниях еще с февраля 2025 года, при этом традиционные системы безопасности показывали нулевой уровень обнаружения этой угрозы. Эксперты также отметили повторное использование доменов eur-cushwake[.]com и delesgroup[.]co на разных IP-адресах, что свидетельствует о постоянном развитии атакующей инфраструктуры.
Особую озабоченность вызывает низкая эффективность традиционных средств защиты против подобных атак. Проверка показала, что доступ к доменам pages[.]dev и workers[.]dev в организации осуществлялся исключительно в ходе AiTM-атак, что позволило заблокировать эти ресурсы без ущерба для бизнес-процессов.
AiTM-атаки представляют серьезную угрозу, поскольку позволяют обходить многофакторную аутентификацию путем перехвата сессионных токенов. Несмотря на доступность более современных решений, таких как passkeys, многие организации продолжают полагаться на уязвимые методы аутентификации. Эксперты подчеркивают необходимость пересмотра подходов к кибербезопасности в условиях растущей изощренности фишинговых атак.
Индикаторы компрометации
IPv4
- 107.173.160.187
- 144.172.105.29
- 144.172.89.38
Domains
- bakic.co
- calcola-iva.it
- delesgroup.co
- dvvatts.com
- eur-cushwake.com
- fzminze.com
- temple-lnc.com
User Agent
- Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.7103.48 Safari/537.36
